本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的 Security Hub CSPM 控制項 AWS Backup
這些 Security Hub CSPM 控制項會評估 AWS Backup 服務和資源。
這些控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【Backup.1】 AWS Backup 復原點應靜態加密
**相關需求:**NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::Backup::RecoveryPoint`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/backup-recovery-point-encrypted.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 AWS Backup 復原點是否靜態加密。如果復原點未靜態加密,則控制項會失敗。
AWS Backup 復原點是指在備份程序中建立的特定資料複本或快照。它代表資料備份並做為還原點的特定時間點,以防原始資料遺失、損毀或無法存取。加密備份復原點可多加一層保護,防止未經授權的存取。加密是保護備份資料的機密性、完整性和安全性的最佳實務。
### 修補
若要加密 AWS Backup 復原點,請參閱《 *AWS Backup 開發人員指南*》中的 [中的備份加密 AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)。
## 【Backup.2】 AWS Backup 復原點應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::Backup::RecoveryPoint`
**AWS Config rule:**`tagged-backup-recoverypoint`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Backup 復原點是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果復原點沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果復原點未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
**將標籤新增至 AWS Backup 復原點**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選擇 **Backup plans (備份計劃)**。
1. 從清單中選擇備份計劃。
1. 在**備份計畫標籤**區段中,選擇**管理標籤**。
1. 輸入標籤的金鑰和值。針對其他鍵/值對選擇**新增標籤**。
1. 當您完成新增標籤的作業時,請選擇 **Save (儲存)**。
## 【Backup.3】 保存 AWS Backup 庫應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::Backup::BackupVault`
**AWS Config rule:**`tagged-backup-backupvault`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Backup 保存庫是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果復原點沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果復原點未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
**將標籤新增至 AWS Backup 保存庫**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選擇 **Backup vaults (備份文件庫)**。
1. 從清單中選擇備份保存庫。
1. 在**備份保存庫標籤**區段中,選擇**管理標籤**。
1. 輸入標籤的金鑰和值。針對其他鍵/值對選擇**新增標籤**。
1. 當您完成新增標籤的作業時,請選擇 **Save (儲存)**。
## 【Backup.4】應標記 AWS Backup 報告計劃
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::Backup::ReportPlan`
**AWS Config rule:**`tagged-backup-reportplan`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Backup 報告計劃是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果報告計畫沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果報告計劃未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
**將標籤新增至 AWS Backup 報告計畫**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選擇 **Backup vaults (備份文件庫)**。
1. 從清單中選擇備份保存庫。
1. 在**備份保存庫標籤**區段中,選擇**管理標籤**。
1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。
1. 當您完成新增標籤的作業時,請選擇 **Save (儲存)**。
## 【Backup.5】 AWS Backup 備份計劃應加上標籤
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::Backup::BackupPlan`
**AWS Config rule:**`tagged-backup-backupplan`(自訂 Security Hub CSPM 規則)
**排程類型:**變更已觸發
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | 無預設值 |
此控制項會檢查 AWS Backup 備份計劃是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果備份計劃沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果備份計劃未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
**將標籤新增至 AWS Backup 備份計劃**
1. 在 https://[https://console.aws.amazon.com/backup](https://console.aws.amazon.com/backup) 開啟 AWS Backup 主控台。
1. 在導覽窗格中,選擇 **Backup vaults (備份文件庫)**。
1. 從清單中選擇備份保存庫。
1. 在**備份保存庫標籤**區段中,選擇**管理標籤**。
1. 選擇 **Add new tag (新增標籤)**。輸入標籤的金鑰和值。針對其他鍵/值對重複此步驟。
1. 當您完成新增標籤的作業時,請選擇 **Save (儲存)**。